Исследователи компании SophosLabs сообщили о появлении новой версии вредоносного ПО Mal/Miner-C (также известного как PhotoMiner), предназначенного для майнинга криптовалюты. Вредонос инфицирует NAS-устройства Seagate Central и использует их для заражения подключенных компьютеров с целью получения криптовалюты Monero.
Mal/Miner-C эксплуатирует ошибку в дизайне сетевых накопителей Seagate Central и копирует себя в общедоступные папки. NAS-устройства позволяют пользователям получать доступ к папкам не только по локальной сети, но также удаленно. По словам экспертов, устройства Seagate Central содержат общую папку, доступ к которой может получить даже анонимный неавторизованный пользователь, причем ее нельзя ни удалить, ни деактивировать.
В числе файлов, копируемых вредоносом в общую папку, содержится скрипт Photo.scr, использующий стандартную иконку папки Windows. При открытии папки скрипт запускается и устанавливает на системе приложение для майнинга Monero. Исследователи SophosLabs выявили почти 7 тыс. устройств Seagate Central, подключенных к интернету. Злоумышленникам удалось инфицировать 70% из них. По оценкам специалистов, в ходе своей деятельности операторы трояна заработали порядка 76,6 тыс. евро ($86,4 тыс.). В настоящее время единственным способом предотвратить эксплуатацию уязвимости в сетевых накопителях Seagate Central является отключение функции удаленного доступа.
Официальный комментарий Seagate:
Компанию Seagate уведомили о появлении вредоносной программы, способной атаковать сетевое устройство хранения данных Seagate Central при доступе к нему по протоколу FTP. В связи с этим для обеспечения безопасной дистанционной работы с находящимися на этом устройстве файлами рекомендуется пользоваться функцией защищенного удаленного доступа.
Seagate Central предоставляет для этого разные возможности, в том числе посредством защищенного удаленного доступа и анонимного доступа по защищенному FTP-соединению. Чаще всего применяется первый вариант. Seagate призывает применять именно этот метод, но следить, чтобы переадресация порта FTP была выключена.
Опытные пользователи могут осуществлять доступ к Seagate Central по FTP, для чего может понадобиться включение переадресации портов. В частности, для анонимного доступа по FTP, придется открыть доступ к устройству через Интернет посредством включения функции переадресации портов на маршрутизаторе.
Если у вас есть вопросы о том, как защитить вашу сеть или отключить переадресацию портов, обращайтесь в службу технической поддержки Seagate по адресу http://www.seagate.com/support